Tumbleweed 默认采用 Selinux

在最近一次快照之后，Tumbleweed 已将 SELinux 作为新安装的默认 Linux 安全模块（Linux Security Module, LSM）。

这一过渡已于七月在邮件列表中公布，标志着 Tumbleweed 的重大发展。昨天，factory 邮件列表上的一则新公告确认了 Tumbleweed 快照 20250211 将应用此变更。这一变更也适用于 openSUSE Tumbleweed minimalVM，它将默认启用 SELinux。

SELinux 安全工程师 Cathy Hu 在邮件公告中写道：”通过 ISO 镜像安装 openSUSE Tumbleweed 的用户将在安装程序中看到 SELinux 的默认选项是 enforcing 模式。如果用户更喜欢使用 AppArmor 而不是 SELinux，他们可以在安装程序中手动更改为 AppArmor。”

Tumbleweed 过去将 AppArmor 用作默认 LSM。这次变更标志着新安装的默认强制访问控制（MAC）系统发生了变化，SELinux 取代 AppArmor 成为默认选择。

SELinux 将仅在新安装时默认启用 enforcing 模式。已安装的系统将不会受到这一变更的影响，安装镜像将保留 AppArmor 选项供用户选择使用。

默认安装 SELinux 的迁移正在实施中，这与 SUSE 和 openSUSE 推广 SELinux 的决定是一致的。预计这将通过默认限制更多服务来提高安全性。 SELinux 以其丰富的安全功能和在企业环境中的广泛应用而著称。

此举有望为 Tumbleweed 带来更严格的访问控制。用户可能会遇到错误或问题，但在早期采用阶段，Tumbleweed 的 openQA 测试在发现和解决潜在问题方面发挥了关键作用。

我们鼓励贡献者报告出现的任何错误，并可参考 SELinux 错误报告指南以获得帮助。

目前还没有更改内核配置的计划，新安装的系统将由安装程序处理 SELinux 激活事宜。

尽管一些用户，尤其是依赖高度定制化 AppArmor 配置文件的用户表示了担忧，但社区对这一变更的反应基本上是积极的。AppArmor 将继续得到支持，如果需要，用户可以选择手动安装。

此更改不会影响 Leap 15.x 版本。首次启动可能需要一点时间。预计 SELinux 的更新将在未来几周内推出，包括修复和调整。

---

原文：Tumbleweed Adopts SELinux as Default，作者：Douglas DeMaio